Pfizer speichert Patientendaten ungeschützt in der Cloud

Der Pharmakonzern Pfizer hat offenbar versehentlich Daten von Patienten in einem ungesicherten Cloudspeicher abgelegt. Entdeckt wurden die vertraulichen Informationen von Forschern des Sicherheitsanbieters vpnMentor. Frei zugänglich waren demnach Hunderte Konversationen zwischen Pfizers automatischer Kundensupport-Software und Nutzern, die verschreibungspflichtige Medikamente des Unternehmens zur Behandlung von Krebs, Epilepsie, Angststörungen und Erektionsstörungen einnahmen.

Abgelegt waren die Daten in der Google Cloud. Neben vertraulichen medizinischen Daten fanden die Forscher auch Namen, Anschriften und E-Mail-Adressen von Patienten.

„Hacker könnten die Opfer leicht austricksen, indem sie als Kundenbetreuungsabteilung von Pfizer auftreten und in den Protokollen auf die stattfindenden Gespräche verweisen“, erklärten die Forscher gegenüber Siliconangle. „Zum Beispiel erkundigten sich viele Leute nach neuen Rezepten und anderen Fragen. Solche Umstände bieten Cyberkriminellen eine großartige Gelegenheit, sich als Pfizer auszugeben und Kartendetails anzufordern.“

Auch sei es möglich, die Daten für Angriffe mit Malware oder Ransomware einzusetzen. Zusammen mit weiteren Daten der Betroffenen spekulierten die Forscher zudem über Straftaten wie Identitätsdiebstahl.

Dem Bericht zufolge benötigte Pfizer mehrere Wochen, um die Daten gegen unbefugte Zugriffe zu sichern. Bereits im Juli hätten die Forscher das Unternehmen zweimal kontaktiert. Ein weiterer Versuch am 22. September habe schließlich dazu geführt, dass Pfizer den Zugang zu den Daten am 23. September gekappt habe. Eine offizielle Stellungnahme oder gar Bestätigung des Sicherheitsvorfalls stehe aber noch aus.

„Was uns der jüngste Sicherheitsbruch bei Pfizer zeigt, ist, dass es selbst für die größten Unternehmen der Welt äußerst schwierig ist, ihre Daten stündlich, täglich und wöchentlich zu sichern. Es ist unerheblich, ob ein interner oder externer Fehler zu dieser Datenverletzung geführt hat, da der digitale Fußabdruck für Unternehmen so schnell wächst, dass Fehler auftreten und Daten offengelegt werden“, kommentierte Sam Curry, Chief Security Officer bei Cybereason. „In diesem Fall kann Pfizer die Opferkarte nicht ausspielen, da es sicherlich keine Kunden gibt, die daran interessiert sind, Ausreden zu hören. Was sie wollen, ist Transparenz und die Garantie, dass das Unternehmen auch weiterhin dafür sorgen wird, dass der Datenschutz für sie oberste Priorität hat.“

Tim Mackay, Principal Security Evangelist bei Synopsis, schließt einen Zusammenhang mit der COVID-19-Pandemie nicht aus. „Da Unternehmen aufgrund der Pandemie Schwierigkeiten haben, ihre Kosten mit geringeren Einnahmen unter Kontrolle zu halten, ist es normal, dass sie sich nach Optionen wie Cloud Hosted Storage umsehen. Die ordnungsgemäße Sicherung dieses Speichers sollte eine Priorität sein, aber es werden immer wieder Vorfälle gemeldet, in denen Cloud-Storage-Buckets und -Datenbanken nicht ordnungsgemäß gesichert wurden. Jeder Cloud-Anbieter bietet APIs an, die zur Automatisierung der Konfiguration seiner Cloud-Storage-Angebote verwendet werden können. Darüber hinaus ist eine Audit-Protokollierung verfügbar, um unerwartete Nutzungsmuster wie erfolgreiche Zugriffsversuche durch Dritte zu überwachen.“

Laut Siliconangle ist es nicht der erste Sicherheitsvorfall bei Pfizer. Drei ähnliche Vorfälle sollen sich bereits 2007 ereignet haben. 2019 soll ein Mitarbeiter zudem eine Sicherungsfestplatte in einer Box vergessen haben, die schließlich entsorgt wurde.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

6 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago